今号は4本のニュースを取り上げます。エネサンスホールディングスへのランサムウェア攻撃で約36.5万件の顧客情報が漏えいした可能性が明らかになりました。また、委託先の新日本検定協会が攻撃を受けたことで東京海上日動火災保険の顧客情報にも被害が及ぶという、サプライチェーン型インシデントの典型例が相次ぎました。Microsoft5月定例パッチ(118件対応)の未適用環境が残っている場合は至急対応してください。
NEWS 01
ScanNetSecurity | 2026年5月22日
エネサンスHDへのランサムウェア攻撃、約36.5万件の顧客情報が漏えいの恐れ
エネサンスホールディングス(LPガス・石油販売業)は2026年5月、2025年10月21日に発生したシステム障害がランサムウェア被害によるものと確認されたと発表しました。外部専門家の調査により、インターネット接続口からの侵入が有力視されており、攻撃グループはQilin(キリン)によるものと見られています。
漏えいした可能性がある情報は、顧客の氏名・住所・電話番号・メールアドレス等約36万5,000件と、グループ従業員等の情報約2,000件です。2025年11月末時点でダークウェブ上にデータが掲載されていることが確認されています。
Qilinとはどのような攻撃グループか
Qilinはロシア語圏に拠点を置くとされるランサムウェア・アズ・ア・サービス(RaaS)グループです。暗号化によるデータ人質に加えて、窃取したデータを公開サイトで公開する「二重脅迫」の手口を用います。医療・エネルギー・物流分野の企業を主な標的とし、国内でも東山産業への攻撃(2026年3月)でデータ公開が確認されています。
▌中小企業への影響
LPガスや石油販売・配送業者の多くは中小企業です。顧客の住所・電話番号が36万件規模で流出した場合、フィッシング詐欺や振り込め詐欺に悪用されるリスクがあります。また「インターネット接続口からの侵入」という原因は、VPNや公開サービスの脆弱性・設定不備が侵入経路になるパターンで、エネルギー・小売・物流の中小企業全般が同様のリスクを抱えています。
▌推奨対応
→ 社外に公開しているVPN・リモートアクセス装置のファームウェアを最新版に更新する
→ RDP(リモートデスクトップ)がインターネットに直接開放されていないかを確認し、不要なら閉じる
→ 顧客情報を保有するサーバー・PCのバックアップが取れているか今週中に確認する
→ ランサムウェア感染を想定したインシデント対応フロー(誰に報告するか・何を遮断するか)を1枚の紙で整理しておく
NEWS 02
ScanNetSecurity / 東京海上日動 | 2026年5月11日・25日
委託先・新日本検定協会のランサムウェア被害が東京海上日動の顧客情報にも波及
東京海上日動火災保険は2026年5月11日、損害査定等の業務を委託している一般財団法人新日本検定協会がランサムウェア被害を受け、東京海上日動の顧客情報約1,500件が漏えいした可能性があると発表しました。新日本検定協会では2025年11月26日にサーバーへのアクセス不能を検知しており、外部専門業者の調査でデータが暗号化されたほかファイル転送ツールの実行痕跡が確認されています。
新日本検定協会から流出の恐れがある情報は業務関係者の氏名・住所・電話番号・メールアドレス等約3万件、従業員・退職者約300件、採用候補者約50件です。東京海上日動の顧客に関しては、契約者名・被保険者の住所・電話番号・証券番号・事故受付番号・メールアドレス等が含まれています。
委託先が狙われるサプライチェーン攻撃の構図
今回のケースは「元請け(大企業)が直接攻撃されたのではなく、業務委託先(中小の検査機関)が攻撃されて、そこに保管されていた元請けの顧客データが流出した」という典型的なサプライチェーン型インシデントです。委託先のセキュリティ水準が低い場合、元請けの個人情報保護体制が整っていても被害を防げません。
▌中小企業への影響
中小企業は「委託される側」として攻撃者に狙われるリスクがあります。取引先の大企業から顧客情報・設計データ・価格データを預かって業務処理しているケースで、自社が攻撃に遭えば元請けの情報が流出します。契約上の損害賠償責任を問われる可能性もあります。逆に「委託する側」として、業務委託先のセキュリティ水準を定期的に確認しておく必要があります。
▌推奨対応
→ 【委託される側】取引先から預かっている個人情報・機密情報の保管場所を棚卸しし、アクセス権限を最小化する
→ 【委託する側】業務委託先に対して「セキュリティチェックシート」等で最低限の対策状況(バックアップ有無・VPN管理・ウイルス対策)を確認する
→ 委託先が被害を受けた場合の通知ルールを契約書・覚書に明記する
→ 外部に保管しているデータのリストを年1回見直し、不要になった委託先への情報提供は停止する
NEWS 03
IPA / JPCERT/CC | 2026年5月13日
Microsoft5月定例パッチで脆弱性118件に対応、緊急16件・CVSS9.8超も複数
マイクロソフトは2026年5月12日(米国時間)、5月の月例セキュリティ更新プログラム(パッチチューズデー)を公開しました。対応した脆弱性は118件で、このうち最大深刻度「緊急」は16件です。権限昇格(57件)やリモートコード実行(29件)の脆弱性が多く含まれており、認証不要・ユーザー操作不要で悪用可能な脆弱性(CVSS 9.8以上)も複数含まれています。IPA・JPCERT/CC(at260012)はそれぞれ注意喚起を公表し、早急な適用を求めています。
5月13日時点で悪用が確認された脆弱性は報告されていませんが、定例パッチ公開後は攻撃者が差分を解析して短期間で悪用コードを作成するケースがあります。公開から2週間以内の適用が推奨されます。
▌中小企業への影響
Windows PCおよびWindows Serverを使用しているすべての企業が対象です。「自動更新が有効」であっても、再起動を後回しにしている端末ではパッチが完全に適用されていないケースがあります。特にサーバー系のパッチは再起動を要するため、管理者が意図的に適用しない限り放置されることがあります。
▌推奨対応(5月中に実施)
→ 全PCで「設定」→「Windows Update」を開き、最新の更新プログラムが適用済みであることを確認する
→ 「更新を適用するには再起動が必要です」の状態になっている場合は今週中に再起動する
→ Windows Serverを運用している場合は管理者がサーバー側のパッチ適用状況を確認する
→ パッチ適用で業務アプリに不具合が出る場合に備え、重要業務の直前(月末処理等)を避けて対応する
NEWS 04
JPCERT/CC / ScanNetSecurity | 2026年5月21日
TrendAI Apex Oneに悪用済みの脆弱性、JPCERT/CCが緊急注意喚起(at260014)
JPCERT/CCは2026年5月21日、トレンドマイクロのエンドポイントセキュリティ製品「TrendAI Apex One」等に複数の脆弱性が存在するとして緊急注意喚起(at260014)を公表しました。脆弱性のうちCVE-2026-34926(相対パストラバーサル)については、オンプレミス版のTrendAI Apex Oneにおいて既に悪用が確認されています。
悪用が確認された脆弱性は攻撃者が細工したコードをセキュリティエージェントに配布したり、権限を昇格させたりするために利用される可能性があります。対象製品はTrendAI Apex One(オンプレミス)・Trend Micro Apex One as a Service・TrendAI Vision One Endpoint Security(Standard Endpoint Protection)で、修正パッチが公開されています。
▌中小企業への影響
セキュリティ製品そのものが攻撃の入り口になるケースは対策の盲点になりやすく、「ウイルス対策を入れているから安全」という認識が崩れます。Apex One・Vision One Endpoint Securityを導入している企業は、製品が最新バージョンに更新されているかを今週中に確認してください。「悪用が確認済み」の脆弱性は攻撃者がすでに実際の環境で試している状態であり、対応の緊急度が高い案件です。
▌推奨対応(至急)
→ トレンドマイクロの管理コンソールにログインし、現在のビルドバージョンを確認する
→ オンプレミス版はSP1 Critical Patch B18012をサーバーおよび全エージェントに適用する
→ クラウド版(as a Service)は自動更新が有効になっているか確認し、最新の月次アップデートが適用済みであることを確認する
→ トレンドマイクロ製品のサポート窓口またはパートナー経由で不明点を確認する
編集部まとめ
今号の4本を貫く共通テーマは「委託先・製品・接続口という盲点からの侵入」です。エネサンスHDも新日本検定協会も、インターネットとの接続部分から侵入を許した疑いがあります。中小企業でも「外部に開いているサービス(VPN・RDP・公開Webシステム)の管理状況」を年1回棚卸しする習慣を持つだけで、侵入リスクを大きく下げられます。
Microsoftパッチ(NEWS 03)は未適用のままにしているPCがあれば今週中に再起動も含めて完了させてください。TrendAI Apex One(NEWS 04)は悪用が確認済みのため、導入企業は最優先で対応が必要です。
参考情報
- ScanNetSecurity「エネサンスホールディングスへのランサムウェア攻撃、約36.5万件の顧客情報が漏えいした可能性」(2026年5月22日)
- ScanNetSecurity「新日本検定協会のランサムウェア被害、東京海上日動火災保険の顧客情報漏えいの可能性」(2026年5月25日)
- 東京海上日動火災保険「当社業務委託先におけるランサムウェア被害に伴う情報漏えいのおそれについて」(2026年5月11日)
- IPA「Microsoft製品の脆弱性対策について(2026年5月)」(2026年5月13日)
- JPCERT/CC 注意喚起 at260012「2026年5月マイクロソフトセキュリティ更新プログラムに関する注意喚起」
- JPCERT/CC 注意喚起 at260014「TrendAI Apex Oneなどのトレンドマイクロ製品における複数の脆弱性に関する注意喚起」(2026年5月21日)
secure